在我前两天的工作中,很不幸客户有两台服务器中了勒索病毒。我总结了一下这两台服务器有以下特点:1、系统密码是弱口令。2、系统防火墙为关闭状态。3、开启了系统的远程桌面。这样“黑客”一旦能够成功登录服务器,就可以在服务器上为所欲为。即使服务器上安装了安全软件,也有可能会被黑客第一时间手动退出,以便于后续投毒勒索。其实99%的勒索病毒针对的都是windows系统,那么如何防止主机或服务器被恶意远程爆破(划重点,认真看!!!):

步骤1:使用高强度登录密码,避免使用弱口令密码,并定期更换密码a.高强度密码:8位以上,采用大写字母+小写小写+数字+符号(举例:HanL936582@!#¥@) b.不要使用弱口令密码:顾名思义弱口令就是没有严格和准确的定义,通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令(举例:123456;abcdefg;admin) c.定期更换密码:正常系统登录口令需要在3-6个月之内更换一次密码 d.另外如果组织内有多个服务器一定不要使用相同的密码,这样如果一台服务器沦陷其他服务器也会中毒 e.尽量不要开启DMZ主机或桌面映射功能,避免电脑IP爆漏在公网

步骤2:通过组策略强制使用密码策略,对错误次数达到一定次数时进行阻止

a. win+r打开运行,输入gpedit.msc

b. 计算机设置---Windows设置---安全设置---账户策略---账户锁定策略”,然后到右侧窗格中的“账户锁定阈值”项,这里可以设置用户账户被锁定的登录尝试失败的次数,该值在0到999之间,默认为0表示登录次数不受限制,我们可以改为3或10。(设置完成后,还可以设置账户锁定的时间)

c.修改后需要注意:当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该账户锁定,在账户锁定期满之前,该用户将不可使用,除非管理员手动解除锁定。

步骤3:关闭不必要的端口,如:445、135,139等,对3389端口可进行白名单配置,只允许白名单内的ip连接登陆

a. 首先右击任务栏网络图标,选择“打开网络和共享中心”在网络和共享中心中点击左下角“Windows防火墙”

b. 在Windows防火墙中点击“高级设置”,点击左上角“入站规则”,然后再选右上角新建规则

c.规则类型点击端口,选择下一步

d.在“特定本地端口”中输入“445”,点击进入下一步, 然后在操作中选择“阻止连接”,点击进入下一步

e.点击进入下一步,点击完成至此即完成了对445端口的关闭,同样其他端口也可以使用相同的方法禁用

步骤4:使用360安全卫士“防黑加固”关闭文件共享、admin$管理共享、远程服务等

a.打开360安全卫士右上方搜索“防黑加固”打开此工具

b.打开后提示检测,点击“立即检测”

c.检测后会提示相关加固建议,按照建议操作,就可以有效防护被攻击

小结:通过以上四种方法,均可有效防护服务器被远程攻击问题,如果担心自己或公司的电脑攻击那就赶紧按照以上几种方法进行手动设置防护吧

以上方案需要关闭相关端口和共享,这会影响我的电脑正常作业,这种情况要怎么解决???

解决方法:可以安装最新版360安全卫士开启“黑客入侵防护”功能,可有效防护远程爆破行为,无需关闭端口、共享等,详情见下1),点击右上角“三横杠”打开菜单,点击“设置”按钮

2),打开安全防护中心,选择黑客入侵防护,右侧勾选“自动阻止高风险的远程登录行为”

安全提醒

安全专家提醒广大用户、网管、服务器管理人员,不要点击来历不明的邮件附件,使用360安全卫士或系统Windows Update修复系统或第三方软件中存在的安全漏洞,采用高强度、无规律密码并定期更改电脑密码,对重要文件和数据(数据库等数据)进行定期非本地备份,在电脑上安装360安全卫士,开启黑客安全防护+防黑加固功能对“黑客”攻击进行有效防护。

在最后我利用一个案例,来说明黑客是怎么利用网络漏洞进行攻击的。如下表:

序号

“XXX”公司

漏洞和威胁

黑客的行动

1

“最危险的就是最安全的!黑客一定想不到边界防火墙使用的是出厂默认密码”

——公司IT管理员小A对秘书MM吹牛

  · 弱口令

  · 从黑市购得公司的边界IP等信息。

  · 简单漏扫,轻松获取防火墙最高管理员权限

2

有一次,为了工作方便,管理员在防火墙上配置了一条从外部可随意访问自己主机的策略。

用完之后忘记了删除。

  · 策略管理混乱

  · 黑客用已经获得的权限,分析防火墙的策略。发现从外部可以无障碍访问内部一台主机

3

为方便给同事分享文件,管理员在自己的主机中创建了很多访客用户,并给访客开了最高的权限,可以任意访问、获取、修改主机内的文件。

  · 用户管理混乱

  · 文件权限设置不当

  · 获取到了访客权限,收集到大量文件。包括组网、网络运维报告、网络策略规则说明等文件。

  · 黑客推测该主机是IT管理员的主机,并发现了管理员姓名:小A。

4

“今儿外卖鱼香肉丝里的香菜味道不错。”管理员喜欢点鱼香肉丝外卖,外卖小票经常随手乱扔

“黑客一定想不到,我的密码是鱼香肉丝首字母和手机号拼接。”

——小A跟同事小B闲聊

· 信息防护意识不足

  · 黑客从外卖小票收集到了管理员的信息

  · 组合这些信息慢速暴力破解,获取了管理员的密码

5

为方便记忆,邮件服务器和管理员的主机共用了一套密码

· 多处共用密码

  · 黑客从组网中找到了邮件服务器。用已有的几组密码试探,获取邮件服务器管理员权限

  · 盗取邮件数据后,在附件文件中发现会计同时向BOSS上报三套账目数据。

6

BOSS的秘书很忙,工作PC的操作系统很久没有升级打补丁

· 系统漏洞

  · 黑客从组网获取到秘书的IP。

  · 轻量漏扫发现大量系统漏洞

  · 利用系统漏洞获取到了秘书PC中的许多文件。包括BOSS行程、产品报价、打击竞争对手的材料等。

7

BOSS办公室使用了无线路由器方便手机上网。

贪图方便,路由器没有开启安全防护加密,未修改初始密码

为了安装各种免费软件,BOSS的手机做了越狱破解

  · 弱口令

  · 无安全防护的路由器

  · 手机越狱后系统存在漏洞

  · 黑客从组网获取到BOSS路由器的IP。

  · 黑客轻松攻破无防护的路由器。

  · 黑客控制路由器,向BOSS推送了很多钓鱼广告,引导BOSS连接了很多非法网站。

  · 黑客通过系统漏洞控制了BOSS的手机备份出手机中的通信记录、短信、相册。发现BOSS经常与几位“生意伙伴”“逢场作戏”

8

公司对外提供了一个官方网站,但是未进行必要的安全防护

  · 无输入校验

  · SQL注入漏洞

  · webshell

  · 早期试图攻入公司时,以web作为入口进行过SQL注入,获取了用户信息。但由于业务特性,获得的内容价值不大。

  · 黑客在web服务器中植入webshell、蠕虫,但由于用户较少,只转发过几条垃圾邮件,无高价值进展,故放弃这个入口。